Configurar o Sophos Firewall para usar o DNS Protection
Se você estiver usando o Sophos Firewall como um servidor DNS, poderá configurar o firewall para usar o DNS Protection como o encaminhador DNS.
Etapas principais
As principais etapas para configurar o Sophos Firewall com o DNS Protection são as seguintes:
- Adicione o Sophos Firewall como um local no Sophos Central.
- Copie os endereços IP do DNS Protection do Sophos Central.
- Adicione os endereços IP do DNS Protection no Sophos Firewall.
- Adicione uma rota de solicitação de DNS no Sophos Firewall se estiver usando um servidor DNS interno para resolver solicitações de DNS locais.
- Configure os dispositivos de rede para usar o Sophos Firewall como o servidor de DNS.
- (Opcional) Crie uma regra NAT para encaminhar o tráfego de DNS de saída para o resolvedor de DNS do firewall.
Configuração do Sophos Central
No Sophos Central, adicione o firewall como um local e copie os endereços IP do DNS Protection.
Adicionar o Sophos Firewall como um local no Sophos Central
Para adicionar o Sophos Firewall como um local, siga este procedimento:
- Vá para Meus produtos > DNS Protection > Locais.
- Clique em Adicionar.
- Insira um nome e uma descrição para o local.
-
Em Endereços IPv4 ou FQDNs, de acordo com a configuração da sua rede, faça o seguinte:
- Se o firewall tiver uma única interface WAN, adicione o endereço IP da interface WAN.
- Se o firewall tiver várias interfaces WAN, adicione todos esses endereços IP ou adicione um intervalo de endereços IP.
- Se o endereço IP do seu firewall for dinâmico, adicione o nome de host do firewall registrado no fornecedor de DNS Dinâmico (DDNS). Consulte DNS dinâmico.
-
Clique em Salvar.
Copiar os endereços IP do DNS Protection
No Sophos Central, copie os endereços IP do DNS Protection. Você precisará desses endereços IP para configurar o Sophos Firewall para usar o DNS Protection.
Para copiar os endereços IP do DNS Protection, faça o seguinte:
- Vá para Meus produtos > DNS Protection > Instaladores.
-
Ao lado de Endereços IP, clique em Copiar.
Copie dois endereços IP. Você pode usá-los como os endereços IP primário e secundário do DNS Protection para configurar a redundância.
Configuração do Sophos Firewall
No firewall, faça o seguinte:
- Adicione os endereços IP do DNS Protection no Sophos Firewall.
- Adicione uma rota de solicitação de DNS se estiver usando um servidor DNS local.
- Configure os seus dispositivos de rede para usar o firewall como resolver de DNS.
Adicionar endereços IP do DNS Protection no Sophos Firewall
Para configurar o firewall para usar o DNS Protection, adicione ao firewall os endereços IP do DNS Protection que você copiou do Sophos Central.
Para adicionar os endereços IP do DNS Protection no Sophos Firewall, faça o seguinte:
- Vá para Rede > DNS.
- Selecione DNS estático.
-
Em DNS 1, insira o endereço IP que deseja usar como servidor primário do DNS Protection.
Esse deve ser um dos endereços IP copiados do Sophos Central.
-
Em DNS 2, insira o endereço IP que deseja usar como servidor secundário do DNS Protection.
Esse deve ser um dos endereços copiados do Sophos Central.
Nota
Recomendamos que você não adicione nenhum outro servidor DNS no DNS 3. Se o firewall mudar para o terceiro servidor DNS, você perderá a proteção oferecida pelo DNS Protection.
-
Certifique-se de que os servidores DNS IPv6 não estejam configurados.
Em IPv6, faça o seguinte:
- Selecione DNS estático.
- Deixe DNS 1, DNS 2 e DNS 3 em branco.
- Selecione Escolha Servidor de DNS IPv4 em lugar de IPv6.
-
Clique em Aplicar.
Nota
Os endereços IP na captura de tela são apenas exemplos. Você deve usar os endereços IP copiados do Sophos Central.
Adicionar rota de solicitação de DNS
O DNS Protection não resolve solicitações de DNS locais. Portanto, se você estiver usando um servidor DNS interno para resolver solicitações de DNS locais, você deve adicionar uma rota de solicitação de DNS no firewall.
Quando você adiciona uma rota de solicitação de DNS, o firewall resolve as solicitações de DNS da seguinte forma:
- Todas as solicitações dos usuários vão para o firewall.
- O firewall encaminha solicitações locais para um servidor DNS interno com base no domínio.
- O firewall encaminha solicitações de DNS público para o DNS Protection.
- O firewall encaminha as respostas de todas as solicitações de DNS de volta para os usuários.
Na rota de solicitação de DNS, especifique o domínio local e o servidor DNS interno.
Para adicionar uma rota de solicitação de DNS, faça o seguinte:
- Vá para Rede > DNS.
- Em Rota da solicitação de DNS, clique em Adicionar.
- Em Nome do host/domínio, digite o domínio local.
- Em Servidores de destino, selecione o servidor DNS interno.
- Clique em Salvar.
Configurar dispositivos de rede para usar o Sophos Firewall como o resolvedor de DNS
Atualize os servidores DHCP do firewall para que os seus dispositivos de rede usem o firewall como o resolvedor de DNS.
Para atualizar os servidores DHCP do firewall, faça o seguinte:
- Vá para Rede > DHCP.
-
Em Servidor, selecione um servidor DHCP configurado e clique em Editar
para fazer alterações.
-
Em Interface, anote o endereço IP da interface DHCP selecionada.
-
Em Servidor DNS, configure o servidor da seguinte forma:
- Não selecione Use as configurações de DNS do dispositivo.
- Em DNS primário, insira o endereço IP da interface DHCP que você anotou em Interface.
- Em DNS secundário, insira o endereço IP público do DNS Protection. Esse deve ser um dos endereços IP copiados do Sophos Central.
-
Clique em Salvar.
- Repita essas etapas para todos os servidores DHCP configurados no firewall.
Criar uma regra NAT para encaminhar o tráfego de DNS de saída para o resolvedor de DNS do firewall
Mesmo depois de configurar todos os servidores DHCP, alguns dispositivos em sua rede podem ser configurados para usar um resolvedor de DNS de terceiros, seja por meio de uma configuração legítima ou maliciosa. Contudo, você pode criar uma regra NAT para encaminhar todo o tráfego de DNS de saída da sua rede interna para o resolvedor de DNS do firewall.
Para configurar uma regra NAT, faça o seguinte:
- Vá para Regras e Políticas > Regras NAT e selecione IPv4.
- Clique em Adicionar regra NAT e selecione Nova regra NAT.
- Insira um nome para a regra e defina a Posição da regra como Superior.
- Em Origem original, selecione todas as suas redes internas.
- Em Destino original, selecione o grupo de host de saída. Você também pode selecionar o grupo de host interno Grupo de IPv4 da Internet.
- No Serviço original, selecione DNS.
- Em Destino Traduzido / Destination DNAT, selecione ou adicione o endereço IP de uma das interfaces internas do seu firewall.
-
Em Interface de entrada, selecione as interfaces de firewall correspondentes às redes de origem que você configurou na Origem original.
Nota
Não selecione a porta WAN nem nenhuma interface WAN se você tiver várias interfaces WAN no firewall.
-
Clique em Salvar.
Mais recursos